企业信息安全风险管理论文

企业信息安全风险管理论文

1企业信息安全风险管理的主要内容开放、互联的信息技术与信息安全就像一把双刃剑。

一方面，企业需要借助信息技术或信息系统集中信息并开放共享；另一方面，企业的核心信息资产又在不断外泄，引发无数信息安全问题。

一谈到信息安全，首先想到的是网络安全，比如防火墙、入侵检测、漏洞扫描、数据加密等传统意义上的网络底层安全防护。

但从广义上来讲，随着信息化建设的不断深入，企业的信息资产对经营的贡献比重越来越大。

尤其在信息访问越加便捷的前提下，根据市场竞争的需要，企业需要源源不断地将信息不同程度地开放给客户、供应商、员工等，企业的信息资产也越来越暴露在更多的威胁之中。

信息的三个安全特性，即完整性、保密性和可用性。

1信息完整性风险管理。

一方面，要保证信息在收集、加工过程中不能被恶意篡改、不能丢失、被窃取、损坏等；另一方面，也常为人忽视的是加工过程本身的科学性，需要防范因不恰当的加工方式而导致的数据失效或结果错误。

2信息保密性风险管理。

主要是指要保障没有被授权的用户无法使用信息系统，访问相应的资源。

防止该类用户访问、通过非法手段攻击破坏企业信息资产。

3信息可用性风险管理。

主要是指保障被授权用户可以顺利、快速访问信息资产，保障信息系统稳定性和可用性。

以上三个特性，同时也是信息安全风险管理的主要内容，管理过程包括风险识别、风险评估和风险控制三个步骤。

2企业信息安全风险识别由于涉及企业的核心信息资产，所以相应的信息安全风险点分布在企业管理的各个环节和层面。

但是由于种种原因，目前国内企业对信息安全风险管理的认识仍不到位。

总体来说，有以下主要问题，也是常见的信息安全风险管理的风险点。

1信息安全组织和制度保障不足。

没有有效的信息安全管理组织机构，就无法有效地制定、执行安全管理策略，更无法进行有效的信息安全协作。

信息安全管理制度通常都有，但很少有单位能够严格执行，信息安全的政策制定也常常不符合标准，导致可操作性比较差或者达不到控制的目的。

2信息安全相关人员意识不足。

信息安全虽然已经被很多企业提到战略高度，但更多停留在口头上和管理层。

大部分企业人员比较缺乏信息安全意识，安全事件报告不及时；对各自岗位相关的信息资产职责了解不清，对信息系统的错误操作导